Ακολουθεί μια επιμελημένη λίστα προγραμμάτων Bounty από αξιόπιστες εταιρείες
1) Intel
Το πρόγραμμα γενναιοδωρίας της Intel στοχεύει κυρίως το υλικό, το υλικολογισμικό και το λογισμικό της εταιρείας.
Περιορισμοί: Δεν περιλαμβάνει πρόσφατες εξαγορές, την διαδικτυακή υποδομή της εταιρείας, προϊόντα τρίτων ή οτιδήποτε σχετίζεται με τη McAfee.
Ελάχιστη πληρωμή: Η Intel προσφέρει ένα ελάχιστο ποσό $ 500 για την εύρεση σφαλμάτων στο σύστημά τους.
Μέγιστη πληρωμή: Η εταιρεία πληρώνει το μέγιστο 30.000 $ για τον εντοπισμό κρίσιμων σφαλμάτων.
Bounty Link: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
Η Yahoo έχει την αφοσιωμένη ομάδα της που δέχεται αναφορές ευπάθειας από ερευνητές ασφαλείας και ηθικούς χάκερ.
Περιορισμοί: Η Εταιρεία δεν προσφέρει καμία ανταμοιβή για την εύρεση σφαλμάτων στο blog Yahoo 7, Yahoo 7, Yahoo Japan, Onwander και Yahoo.
Ελάχιστη πληρωμή: Δεν υπάρχει καθορισμένο όριο στο Yahoo για την ελάχιστη πληρωμή.
Μέγιστη πληρωμή: Το Yahoo μπορεί να πληρώσει 15000 $ για τον εντοπισμό σημαντικών σφαλμάτων στο σύστημά τους.
Bounty Link: https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
Η ομάδα ασφαλείας Snapchat εξετάζει όλες τις αναφορές ευπάθειας και τις ενεργεί βάσει υπεύθυνης αποκάλυψης. Η εταιρεία, θα αναγνωρίσουμε την υποβολή σας εντός 30 ημερών.
Ελάχιστη πληρωμή: Το Snapchat θα πληρώσει τουλάχιστον $ 2000.
Μέγιστη πληρωμή: Το μέγιστο που θα πληρώσουν είναι 15.000 $.
Bounty Link: https://support.snapchat.com/en-US/i-need-help
4) Cisco
Η Cisco ενθαρρύνει άτομα ή οργανισμούς που αντιμετωπίζουν ένα ζήτημα ασφάλειας προϊόντων να τα αναφέρουν στην εταιρεία.
Ελάχιστη πληρωμή: Το ελάχιστο ποσό πληρωμής της Cisco είναι 100 $.
Μέγιστη πληρωμή: Η εταιρεία θα δώσει το μέγιστο 2.500 $ για να εντοπίσει σοβαρές ευπάθειες.
Bounty Link: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Το πρόγραμμα Dropbox bounty επιτρέπει στους ερευνητές ασφαλείας να αναφέρουν σφάλματα και ευπάθειες στην υπηρεσία τρίτων κατασκευαστών HackerOne.
Ελάχιστη πληρωμή: Το ελάχιστο ποσό που πληρώθηκε είναι 12.167 $.
Μέγιστη πληρωμή: Το μέγιστο ποσό που προσφέρεται είναι 32.768 $.
Bounty Link: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Μήλο
Όταν η Apple ξεκίνησε για πρώτη φορά το πρόγραμμα bug bounty, επέτρεψε σε 24 ερευνητές ασφαλείας. Το πλαίσιο στη συνέχεια επεκτάθηκε για να συμπεριλάβει περισσότερους κυνηγούς bounty bounty.
Η εταιρεία θα πληρώσει 100.000 $ σε όσους μπορούν να εξαγάγουν δεδομένα που προστατεύονται από την τεχνολογία Secure Enclave της Apple.
Ελάχιστη πληρωμή: Δεν υπάρχει περιορισμένο ποσό που καθορίζεται από την Apple Inc.
Μέγιστη πληρωμή: Το υψηλότερο ποσό που δίνεται από την Apple είναι 200.000 $ για ζητήματα ασφαλείας που επηρεάζουν το υλικολογισμικό της.
Bounty Link: https://support.apple.com/en-au/HT201220
7) Facebook
Σύμφωνα με το πρόγραμμα bug bounty του Facebook, οι χρήστες μπορούν να αναφέρουν ένα ζήτημα ασφαλείας στο Facebook, το Instagram, το Atlas, το WhatsApp κ.λπ.
Περιορισμοί: Υπάρχουν μερικά ζητήματα ασφάλειας που η πλατφόρμα κοινωνικής δικτύωσης θεωρεί εκτός ορίων.
Ελάχιστη πληρωμή: Το Facebook θα πληρώσει τουλάχιστον 500 $ για μια ευπάθεια που αποκαλύπτεται.
Μέγιστη πληρωμή: Δεν υπάρχει καθορισμένο ανώτατο όριο από το Facebook για την πληρωμή.
Bounty Link: https://www.facebook.com/whitehat/
8) Google
Κάθε περιεχόμενο στο .google.com, .blogger, το youtube.com είναι ανοιχτό για το πρόγραμμα ανταμοιβών ευπάθειας της Google.
Περιορισμοί: Αυτό το πρόγραμμα γενναιοδωρίας καλύπτει μόνο θέματα σχεδιασμού και υλοποίησης.
Ελάχιστη πληρωμή: Η Google θα πληρώσει τουλάχιστον 300 $ για την εύρεση θεμάτων ασφαλείας.
Μέγιστη πληρωμή: Η Google θα πληρώσει το υψηλότερο ποσό 31.337 $ για κανονικές εφαρμογές Google.
Bounty Link: https://www.google.com/about/appsecurity/reward-program/
9) Quora
Το Quora προσφέρει πρόγραμμα Bug Bounty σε όλους τους χρήστες και τους ερευνητές για να βρουν και να αναφέρουν ευπάθειες ασφαλείας.
Ελάχιστη πληρωμή: Το Quora θα πληρώσει τουλάχιστον 100 $ για να εντοπίσει ευπάθειες στον ιστότοπό του.
Μέγιστη πληρωμή: Η μέγιστη πληρωμή που προσφέρεται από αυτόν τον ιστότοπο είναι 7000 $.
Bounty Link: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Mozilla
Η Mozilla ανταμείβει για ανακαλύψεις ευπάθειας από ηθικούς χάκερ και ερευνητές ασφαλείας.
Περιορισμοί: Το bounty προσφέρεται μόνο για σφάλματα σε υπηρεσίες Mozilla, όπως Firefox, Thunderbird και άλλες σχετικές εφαρμογές και υπηρεσίες
Ελάχιστη πληρωμή: Το ελάχιστο ποσό που δίνεται από τον Firefox είναι 500 $.
Μέγιστη πληρωμή: Η εταιρεία πληρώνει έως 5000 $.
Σύνδεσμος Bounty: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
Το τρέχον πρόγραμμα bug bounty της Microsoft κυκλοφόρησε επίσημα στις 23 Σεπτεμβρίου 2014 και ασχολείται μόνο με τις Online Services
Περιορισμοί: Η ανταμοιβή γενναιοδωρίας δίνεται μόνο για τις κρίσιμες και σημαντικές ευπάθειες.
Ελάχιστη πληρωμή: Η Microsoft είναι έτοιμη να πληρώσει 15.000 $ για την εύρεση κρίσιμων σφαλμάτων.
Μέγιστη πληρωμή: Το μέγιστο ποσό μπορεί να είναι 250.000 $.
Bounty Link: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
Το OpenSSL bounty σας επιτρέπει να αναφέρετε ευπάθειες χρησιμοποιώντας ασφαλές email (κλειδί PGP) Μπορείτε επίσης να αναφέρετε ευπάθειες στην Επιτροπή Διαχείρισης OpenSSL.
Ελάχιστη πληρωμή: Η εταιρεία πληρώνει ελάχιστες ανταμοιβές 500 $.
Μέγιστη πληρωμή: Το υψηλότερο ποσό που δίνεται από την εταιρεία είναι $ 5000.
Bounty Link: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Η Vimeo καλωσορίζει κάθε αναφορά ευπάθειας ασφαλείας στα προϊόντα της, καθώς η εταιρεία πληρώνει καλές ανταμοιβές σε αυτό το άτομο.
Ελάχιστη πληρωμή: Η εταιρεία θα πληρώσει τουλάχιστον 500 $
Μέγιστη πληρωμή: Το μέγιστο ποσό που καταβάλλεται από αυτήν την εταιρεία είναι 5000 $.
Bounty Link: https://vimeo.com/about/security
14) Apache
Το Apache ενθαρρύνει τους ηθικούς χάκερ να αναφέρουν ευπάθειες ασφαλείας σε μία από τις ιδιωτικές λίστες αλληλογραφίας ασφαλείας.
Ελάχιστη πληρωμή: Το ελάχιστο ποσό πληρωμής που δίνεται από την Apache είναι 500 $.
Μέγιστη πληρωμή: Αυτή η εταιρεία μπορεί να δώσει μέγιστη ανταμοιβή $ 3000.
Bounty Link: https://www.apache.org/security/
15) Twitter
Το Twitter επιτρέπει σε ερευνητές και ειδικούς ασφαλείας σχετικά με πιθανές ευπάθειες ασφαλείας στις υπηρεσίες τους. Η εταιρεία ενθαρρύνει τους ανθρώπους να βρουν σφάλματα.
Ελάχιστη πληρωμή: Το Twitter πληρώνει ελάχιστο ποσό 140 $.
Μέγιστη πληρωμή: Το μέγιστο ποσό πληρωμής από την εταιρεία είναι 15000 $.
Bounty Link: https://support.twitter.com/articles/477159
16) Avast
Το πρόγραμμα Avast bounty επιβραβεύει τους ηθικούς χάκερ και τους ερευνητές ασφαλείας για να αναφέρουν απομακρυσμένη εκτέλεση κώδικα, κλιμάκωση τοπικών δικαιωμάτων, DOS, παράκαμψη σαρωτή μεταξύ άλλων ζητημάτων.
Ελάχιστη πληρωμή: Η Avast μπορεί να σας πληρώσει το ελάχιστο ποσό των 400 $.
Μέγιστη πληρωμή: Το μέγιστο ποσό που προσφέρει η εταιρεία είναι 10.000 $.
Σύνδεσμος Bounty: https://www.avast.com/bug-bounty
17) Paypal
Υπηρεσία πύλης πληρωμών Το Paypal προσφέρει επίσης προγράμματα bug bounty για ερευνητές ασφαλείας.
Περιορισμοί:
Ευπάθειες που εξαρτώνται από τις τεχνικές κοινωνικής μηχανικής, Host Header
Άρνηση υπηρεσίας (DOS), ωφέλιμο φορτίο που καθορίζεται από τον χρήστη, πλαστογράφηση περιεχομένου χωρίς ενσωματωμένους συνδέσμους / HTM και ευπάθειες που απαιτούν κινητή συσκευή jailbroken κ.λπ.
Ελάχιστη πληρωμή: Το Paypal μπορεί να πληρώσει τουλάχιστον 50 $ για την εύρεση τρωτών σημείων ασφαλείας στο σύστημά τους.
Μέγιστη πληρωμή: Το μέγιστο ποσό πληρωμής που δίνεται από το Paypal είναι 10000 $.
Bounty Link: https://hackerone.com/paypal
18) GitHub
Το πρόγραμμα GitHub εκτελεί bug bounty από το 2013. Κάθε επιτυχημένος συμμετέχων κέρδισε πόντους για τις υποβολές ευπάθειας ανάλογα με τη σοβαρότητα.
Περιορισμός: Ο ερευνητής ασφαλείας θα λάβει αυτό το ποσό μόνο εάν σέβονται τα δεδομένα των χρηστών και δεν εκμεταλλεύονται κανένα ζήτημα για να προκαλέσουν μια επίθεση που θα μπορούσε να βλάψει την ακεραιότητα των υπηρεσιών ή των πληροφοριών του GitHub.
Ελάχιστη πληρωμή: Το Github πληρώνει ένα ελάχιστο ποσό 200 $ για την εύρεση σφαλμάτων.
Μέγιστη πληρωμή: Το Github μπορεί να πληρώσει 10000 $ για την εύρεση κρίσιμων σφαλμάτων.
Bounty Link: https://bounty.github.com/
19) Uber
Το πρόγραμμα ανταμοιβών ευπάθειας της Uber επικεντρώθηκε κυρίως στην προστασία των δεδομένων των χρηστών και των υπαλλήλων της.
Ελάχιστη πληρωμή: Δεν υπάρχει προκαθορισμένο ελάχιστο ποσό.
Μέγιστη πληρωμή: Η Uber θα σας πληρώσει 10.000 $ για την εύρεση κρίσιμων προβλημάτων σφαλμάτων.
Bounty Link: https://eng.uber.com/bug-bounty-map/
20) Ματζέντο
Το πρόγραμμα Magneto bounty σάς επιτρέπει να αναφέρετε ευπάθειες ασφαλείας στο λογισμικό ή ιστότοπους του Magneto.
Περιορισμοί:
Μετά από έρευνα ασφαλείας δεν είναι επιλέξιμη για το bounty
- Πιθανή ή πραγματική άρνηση υπηρεσίας εφαρμογών και συστημάτων Magento.
- Χρήση εκμετάλλευσης για προβολή δεδομένων χωρίς άδεια.
- Αυτοματοποιημένη δοκιμή σεναρίων για φόρμες ιστού
Ελάχιστη πληρωμή: Το ελάχιστο ποσό πληρωμής για αυτό είναι το πρόγραμμα γενναιοδωρίας είναι 100 $.
Μέγιστη πληρωμή: Η Magento πληρώνει έως 10.000 $ για την εύρεση κρίσιμων σφαλμάτων.
Bounty Link: https://magento.com/security
21) Perl
Ο Perl εκτελεί επίσης προγράμματα bug bounty. Εάν κάποιος βρήκε μια ευπάθεια ασφαλείας στο Perl, μπορεί να επικοινωνήσει με την εταιρεία.
Ελάχιστη πληρωμή: Η εταιρεία πληρώνει ένα ελάχιστο ποσό 500 $.
Μέγιστη πληρωμή: Το υψηλότερο ποσό που δίνεται από την Perl είναι 1500 $.
Bounty Link: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
Η PHP επιτρέπει στους ηθικούς χάκερ να βρουν ένα σφάλμα στον ιστότοπό τους.
Περιορισμοί: Πρέπει να ελέγξετε τη λίστα των ήδη εντοπισμένων σφαλμάτων. Εάν δεν ακολουθήσετε αυτήν την οδηγία, το σφάλμα σας δεν λαμβάνεται υπόψη.
Μέγιστη πληρωμή: Το ελάχιστο ποσό πληρωμής είναι 500 $.
Ελάχιστη πληρωμή: Το μέγιστο $ 1500 δίνεται από την PHP για αναζήτηση σημαντικών σφαλμάτων.
Bounty Link: https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
Η Starbucks εκτελεί πρόγραμμα σφάλματος Bounty για την προστασία των πελατών τους Ενθαρρύνουν την εύρεση κακόβουλης δραστηριότητας στα δίκτυά τους, στις πολιτικές εφαρμογών ιστού και κινητών.
Ελάχιστη πληρωμή: Το ελάχιστο ποσό που καταβάλλεται από το Starbucks 100 $.
Μέγιστη πληρωμή: Το μέγιστο ποσό ανέρχεται σε 4000 $.
Bounty Link: https://www.starbucks.com/whitehat
24) AT&T
Η AT&T διαθέτει επίσης το κανάλι κυνήγι σφαλμάτων. Οι προγραμματιστές και οι ειδικοί ασφαλείας μπορούν να ερευνήσουν τις διάφορες πλατφόρμες, όπως ιστότοπους, API και εφαρμογές για κινητά.
Ελάχιστη πληρωμή: Το ελάχιστο ποσό που πληρώνουν είναι 500 $.
Μέγιστη πληρωμή: Δεν υπάρχει τέτοιο ανώτατο όριο για την πληρωμή.
Σύνδεσμος Bounty: https://bugbounty.att.com/
25) LinkedIn
Το LinkedIn καλωσορίζει μεμονωμένους ερευνητές που συνεισφέρουν την εμπειρία και το χρόνο τους για την εύρεση σφαλμάτων.
Η εταιρεία θα σας ανταμείψει, αλλά ούτε το ελάχιστο ούτε το μέγιστο ποσό είναι μια λύση για αυτόν τον σκοπό.
Bounty Link: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Paytm
Το Paytm καλεί ανεξάρτητες ομάδες ασφαλείας ή μεμονωμένους ερευνητές να το μελετήσουν σε όλες τις πλατφόρμες
Περιορισμοί:
- Αναφορές που δηλώνουν ότι το λογισμικό δεν είναι ενημερωμένο / ευάλωτο χωρίς «Απόδειξη της έννοιας».
- Ζητήματα XSS που επηρεάζουν μόνο ξεπερασμένα προγράμματα περιήγησης.
- Στοίβα ίχνη που αποκαλύπτουν πληροφορίες.
- Οποιαδήποτε ζητήματα απάτης
Ελάχιστη πληρωμή: Η εταιρεία θα πληρώσει τουλάχιστον 15 $ για την εύρεση σφαλμάτων.
Μέγιστη πληρωμή: Αυτή η εταιρεία δεν καθορίζει το ανώτατο όριο.
Σύνδεσμος Bounty: https://paytm.com/offer/bug-bounty/
27) Shopify
Το πρόγραμμα Whitehat του Shopify επιβραβεύει τους ερευνητές ασφαλείας για την εύρεση σοβαρών τρωτών σημείων ασφαλείας
Ελάχιστη πληρωμή: Το ελάχιστο ποσό που καταβάλλεται από το Shopify είναι 500 $.
Μέγιστη πληρωμή: Δεν υπάρχει καθορισμένο ανώτατο όριο για την πληρωμή του ποσού.
Bounty Link: https://www.shopify.in/whitehat
28) Word Press
Το WordPress καλωσορίζει επίσης τους ερευνητές ασφαλείας για να αναφέρουν τα σφάλματα που έχουν βρει.
Ελάχιστη πληρωμή: Το WordPress πληρώνει τουλάχιστον 150 $ για την αναφορά σφαλμάτων στον ιστότοπό του.
Μέγιστη πληρωμή: Η εταιρεία δεν καθορίζει ένα ανώτατο όριο για πληρωμή ως γενναιοδωρία.
Bounty Link: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Ζομάτο
Το Zomato βοηθά τον ερευνητή ασφαλείας να εντοπίσει ζητήματα που σχετίζονται με την ασφάλεια με τον ιστότοπο ή τις εφαρμογές της εταιρείας.
Ελάχιστη πληρωμή: Το Zomato θα πληρώσει τουλάχιστον $ 1000 για την εύρεση σημαντικών σφαλμάτων.
Μέγιστη πληρωμή: Δεν υπάρχει μέγιστο ποσό επιδιόρθωσης.
Bounty Link: https://www.zomato.com/security
30) Το έργο Tor
Το πρόγραμμα bug bounty του Tor Project καλύπτει δύο από τις βασικές υπηρεσίες του: τον δαίμονα δικτύου και το πρόγραμμα περιήγησής του.
Περιορισμός: Οι εφαρμογές OpenSSL εξαιρούνται από αυτό το πεδίο εφαρμογής.
Ελάχιστη πληρωμή: Το ελάχιστο ποσό που πληρώνουν είναι 100 $.
Μέγιστη πληρωμή: Η εταιρεία θα σας πληρώσει το μέγιστο 4000 $.
(Δεν υπάρχει σύνδεσμος) Bounty Link: Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από κακόβουλη χρήση. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να τη δείτε.
31) Hackerone
Το HackerOne είναι μια από τις μεγαλύτερες πλατφόρμες συντονισμού ευπάθειας και bug bounty. Βοηθά τις εταιρείες να προστατεύσουν τα δεδομένα των καταναλωτών τους σε συνεργασία με την παγκόσμια ερευνητική κοινότητα για την εύρεση πιο σχετικών ζητημάτων ασφάλειας. Πολλές γνωστές εταιρείες όπως το Yahoo, το Shopify, το PHP, το Google, το Snapchat και το Wink χρησιμοποιούν την υπηρεσία αυτού του ιστότοπου για να δώσουν μια ανταμοιβή σε ερευνητές ασφαλείας και σε ηθικούς χάκερ.
Bounty Link: https://hackerone.com/bug-bounty-programs
32) Bugcrowd
Μια ισχυρή πλατφόρμα που συνδέει την παγκόσμια ερευνητική κοινότητα ασφάλειας με την αγορά ασφάλειας. Αυτός ο ιστότοπος στοχεύει στην παροχή σωστού συνδυασμού και τύπου ερευνητή που ταιριάζει σύμφωνα με τη συγκεκριμένη ιστοσελίδα στους πελάτες του παγκοσμίως. Οι χάκερ πρέπει απλώς να επιλέξουν τις αναφορές τους σε αυτόν τον ιστότοπο και αν μπορούν να εντοπίσουν σωστά σφάλματα, η συγκεκριμένη εταιρεία θα πληρώσει το ποσό σε αυτό το άτομο.
Bounty Link: https://www.bugcrowd.com/bug-bounty-list/